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SYSTEME ET METHODE DE TRANSMISSION SECURISE DE 

DONNEES 

Cette invention est du domalne de la securisation de donnees, en 
particulier la securisation de donnees lors du transport. 

5 Dans un schema classique de distribution, le gen^rateur des donnees, que 
celles-ci soient des informations audio/video ou un programme 
informatique, les transmet a un diffuseur qui est en charge de les distribuer 
centre payement. 

Selon ce scii6ma connu, les donnees sont done stockees en clair chez le 
10 distributeur, ce dernier possedant des moyens d'encryptage lors de la 
diffusion au consommateur final, 

Les donnees sont usuellement aclieminees depuis le fournisseur jusqu'au 
diffuseur par un moyen tel qu'une liaison cablee ou par renvoi d'un support 
de donnees, par exemple une bande magnetique. 

15 II a ete constats que ce transport pr§sente un risque important de copies 
illicites, les donnees en claIr se pretant aisement a la copie. 

Forts de cette constatation, fournisseur et diffuseur se sont mis d'accord 
pour que le transport de ces donnees de fasse uniquement apres 
Tencryptage desdites donnees. 

20 Cette solution est satisfalsante du point de vue d'un detournement illicite 
de ces donnees lors du transport. Une fois les donnees arriv6es a bon 
port, elles sont lues et stockees sur un serveur video en vue de leur 
diffusion. 

Neanmoins, le fournisseur, une fois les donn6es transmises au diffuseur, 
25 perd le contrdle sur ses donnees et des copies illicites peuvent §tre 
produites a partir du serveur vidSo par des personnes mal intentionn^es. 
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Ce meme probleme se retrouve lorsque le diffuseur transmet ces donn§es 
encryptees au consommateur final qui a done les moyens de les decrypter 
et peut ainsi en disposer en clair. Des copies non autoris6es peuvent alors 
5 §tre produites depuis ce consommateur. 

De plus, Tapparltion de normes d'encryption dans le domalne de 
transmission de donnees limite les possibilites de securisation en imposant 
les algorithmes utilises. 

Le but de la presente invention est d'assurer la diffusion de donnees au 
10 travers de tous les differents intermediaires tout en assurant un controle 
sur le nombre d'utillsatlons de ces donnees. 

Ce but est atteint par un systeme de transmission de donnees audio/video 
sous forme encryptees par un premier type d'encryption, lesdites donnees 
encryptees etant accompagn^es par un fichier de donnees de decryptage, 
15 comprenant les clefs de d^cryptage temporel et les informations d'accds 
condltionnel, ledit fichier §tant encrypte par un deuxieme type d'encryption. 

Ainsi, Tunite en charge de decrypter les donnees audio/video va, sur la 
base des informations d'acces conditionnel, determiner si Tutilisateur 
poss^de les droits nScessaires. 

20 L'utilisation d'un deuxieme type d'encryption permet de renforcer une 
encryption basee sur un systdme connu car Impost par une norme. 

Le svstdme au niveau de I'abonne 

Afin de rendre les transmissions de donnees inviolables, le flux transmis 
comprend les donnees encryptees par des mots de controle CW ainsi que 
25 des informations de decryptage contenues dans un fichier appele MT 
(Meta Data). Les mots de controle (CW) jouent le jeu de clefs de 
decryptage variant dans le temps. Ce fichier de Meta Data contient d'une 
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part les clefs de d6cryptage sous la forme de mots de controle CW et 
d'autre part une d6finition des droits n6cessaires au d6cryptage que ce soit 
un abonnement ou le payement d'une redevance directement liee a cette 
emission. Ce fichier est encrypte par un algorithme de type IDEA dont la 
5 s6curite est superieure aux algorithmes utilises pour Tencryption par mots 
de controle (CW). 

Du c6t6 de Tabonne se trouve un module de securite, usuellement sous la 
forme d'une carte a puce, qui contient les droits de Tabonn^ (son credit 
entre autre) et compare ses droits avec ceux requis par remission. Si les 
10 droits le permettent, le module de securite decrypte le fichier de Meta Data 
et retourne les mots de controle CW necessaires au decryptage des 
donnees. 

De plus en plus d'installations d'abonnes comprennent des unites de 
stockage des informations tel qu'un disque dur. Ceci permet de 
15 revisualiser une scene, d'effectuer un ralenti tout en ne perdant nullement 
les informations diffus^es pendant la revisualisation. 

Ces unites sont capables de stocker rentier d'un film pour le proposer 
ensuite a la vente a rabonn6. Un tel telechargement se fait en general la 
joumee, p^riode pendant iaquelle le trafic est le plus faible. Si I'abonnS 
20 accepte la proposition d'achat, il peut le visualiser quand bon lui sembie. 

Ce proc6de pr6sente inconvenient de disposer sur un support num6rique 
done facilement copiable, dinformations dont on desire contrSier 
Tutilisation. Ceci est Sgalement valable lors de la transmission de logiciel. 
En effet, rinstallation de I'abonn^ peut etre un ordinateur sur lequel est 
25 connecte un module de security et le telechargement peut representer une 
programme de jeu par exempie. 

Selon invention, les donn§es sont transmises encryptees par un premier 
type d'encryption, accompagnees par un fichier de messages de controle 
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etant eux-memes encryptes par une cl6 de distribution selon un deuxi§me 
type d'encryption. Dans ce fichier sont egalement inclus les informations 
d'accds conditionnei, definissant les droits a une utilisation immediate et 
les droits associes k une utilisation diff^ree. 

5 Le flux de donnees est stocke sous forme encrypt§e dans ("unite de 
Tabonne, ceci interdisant toute utilisation abusive. Chaque utilisation 
subsequente des donnees necessite la presence du module de security. 
Ce dernier peut alors controler les droits d'une utilisation differee, par 
exemple pour la limiter dans le temps, voire de ne I'autoriser qu'un certain 
10 nombre de fois. 

Dans le cas ou un certain nombre d'utilisation est autorisee, le message de 
controle comprend Tidentificateur de r6mission, le nombre maximum 
d'utilisation ainsi qu'eventuellement un indicateur de persistance, Lors de 
la premiere utilisation, le module de securite va initialiser un compteur 
15 propre ^ cette emission qui sera incr6mente ^ chaque d6cryptage par le 
module de securite. Lorsque le maximum est atteint, le d^cryptage sera 
interdit. 

L'indicateur de persistence permet au module de securite de savoir dans 
quel d6lai le compteur de cette emission peut etre efface. Afin de ne pas 
20 remplir la m6moire du module de s6curit6 avec ces informations, lorsque la 
date de cet indicateur est depassee, la portion de m^moire allou^e a cette 
operation peut §tre r6utilis6e. II est avantageusement libelle en jour (1 a 
250 jours) a partir de la premiere utilisation. 

Le svst^me au niveau du diffuseur 

25 Le diffuseur dispose d'une gigantesque unit6 de stockage qui regroupe 
toutes les Emissions a diffuser. On I'appelle couramment serveur vid6o. 
Certaines Emissions seront diffus^es une fois, telles que les informations 


> 


wo 01/80563 PCT/lBOl/00604 

5 

televisees, alors que d'autres vont etre diffusees en boucle pendant 
plusieurs jours afin d'etre proposees a Tachat aux abonnes. 

Ces Emissions anrivent crypt6es, accompagn6es par des messages de 
controle crypt6s par une premiere cl6 propre au fournisseur. Ces donnees 
5 sont stock6es dans Tunite de stockage sous forme crypt^e afin de pr6venir 
toute fuite ou copie illicite. 

Lors de Tutilisation de ces donnees, le serveur video transmet les donnees 
encrypt6es en vue de leur diffusion. Ces donnees sont accompagnees par 
renvoi par le serveur video, du fichier des Informations de decryptage a 
10 une unlt§ de security. 

Cette unit6 effectue un decryptage de ce fichier afin d'en extraire les mots 
de contrQIe CW et de verifier les droits d'utilisation. Une fois cette 
operation terminee, le module de s6curlt6 encrypte ces mots de contrSle 
en y joignant de nouveaux droits d'utilisation. Ces nouveaux droits sont 
15 definis par le diffuseur et peuvent comprendre une condition sur un 
abonnement ou lier Tutillsation a I'achat de remission. C'est a ce stade que 
le nombre d'utilisation, soit de visualisation, est defini. 

Ce nouveau fichier d'infonnations de decryptage est ensuite transmis avec 
le flux de donnees encrypt^es. 

20 L'invention sera mieux comprise grace a la description detaill6e qui va 
suivre et qui se refere aux dessins annexes qui sont donnes a titre 
d'exemple nullement limitatif, dans lesquels les figures 1 et 2 representent 
deux variantes de invention. 

Le serveur video VS regoit les donnees DATA sous forme de bande selon 
25 notre exemple mais qui peuvent etre transmises par nimporte quel moyen 
connu de transmission. Le fichier des informations de decryptage MD est 
egalement foumi au serveur video. Ce fichier est g6n6ralement foumi en 
m§me temps c'est-d-dire qu'il se trouvera avantageusement sur la m§me 
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bande que les donn^es encryptdes. N6anmoi'ns, si Ton desire rerl^ug^er la 
s6curit6, il est possible de faire transiter le fichier MD par d'autres moyens. 

Une fois ces deux fichiers dans le serveur video VS, ie systeme est pret 
pour la diffusion. 

5 A ce moment, le fichier MD est transmis au module de securite SM pour y 
adjoindre les droits que Ton desire d§finlr pour cette emission, Le module 
decrypte le fichier MD puis ajoute les Informations relatives aux droits 
nScessaires ^ la visualisation et retourne au serveur VS ce nouveau fichier 
MD' encrypts par une clef de transport. 

10 Les donnees DT ainsi que ce nouveau fichier sont diffuses d Tintention des 

diff6rents modules d'abonn6 STB. 

* 

Du fait que le dScryptage des donntos DT ne peut se faire sans le fichier 
MD', celui-ci est en general envoye prealablement. 

Les donn§es arrivant au ddcodeur STB sont soit traitSes ImmSdiatement, 
15 soft stockSes pour usage ult^rieur dans I'unitS HD. Dans ce deuxidme cas, 
II est dair que le fichier MD' doit §galement dtre stockd dans I'unitd HD tel 
qu'lllustr^ ^ la figure 1 . 

Pour obtenir les donnies en clair, ce fichier MD' est prSsentd au module 
de sScuritS de I'abonng SM' afin qu'il puisse dScrypter ledit fichier et en 
20 extraire les mots de contrdle CW. 

Seion une variante de {'invention telle qu'iliustree dans la figure 2, le fichier 
MD' est stock6 uniquement dans le module de security de I'abonnd SM'. 
Ainsi, toute tentative de rechercher les conrSlations entre le contenu des 
donn6es et le fichier MD', est vou^e d i'§chec. 

25 Dans le cadre de rinvention, il est propose un module de pr6-encryptage 
destine d produire les donnees DT sous fornie encrypt^es. Ce module 
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regoit les donn6es en clair et produit le couple de donn6es encryptees DT 
etiefichjer MD. 

Selon ia structure de securite choisie, le fichier DT est encrypts selon un 
premier mode d'encryption, les mots de contrdle CW servant de cles de 
5 d6cryption, II s'agit de preference d'un mode sym6trique du fait de la 
rapidite exigee pour le traltement Ces mots de contrdle CW sont ^ leur 
tour encrypt^s selon un deuxiSme mode d'encryptlon, DES par exemple. 

Lorsqull s'agit de grouper Tensemble des mote de contrdle dans un fichier 
MD, rencryption de ce fichier est d'un troisiSme type de haut niveau 
10 cryptographlque, par exemple IDEA. En effet, les consequences d'une 
atfaque victorieuse sur ce fichier etant bien plus grave que sur un mot de 
contrdle. 
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REVENDICATIONS 

1. Syst^me de transmission et de stocl<age de donnees audio/video 
sous forme encryptees entre un centre de diffusion et au moins un module 
d'exploitation, caracterise en ce qu'un fichier de donnees de decryptage 
comprenant les clefs de decryptage temporel et des donnees definissant 
les conditions d*acces aux dites donnees audio/video sont transmises et 
stocl<§es parall^lement aux dites donnees audio/video. 

2. Systeme selon la revendicatlon 1 , caract6ris6 en ce que les donnees 
d6finissant les conditions d'acces comprennent au molns une section 
definissant les droits d'utilisation Immediate des donnees audio/vid^o et 
une section definissant les droits d'utilisation diff^r^e desdites donnees 
audio/video. 

3. Systeme selon la revendication 2, caracteris6 en ce que la section 
definissant les droits d'utilisation differee comprend le type d'abonnement 
necessaire, le prix de {'utilisation des donnees ou le nombre d'utilisation 
maximum. 

4. Systeme selon les revendications 1 a 3, caracterise en ce que le 
module d'exploitation est un recepteur de video a peage (STB) muni d'un 
module de securite (SM') et que les donnees audio/video sont regues et 
stockees dans une unite de stockage (HD). 

5. Systeme selon la revendication 4, caracterise en ce que les donnees 
definissant les conditions d'acces sont stockes dans le module de securite 
(SM'). 

6. Systeme selon les revendications 3 et 4, caracterise en ce que le 
module de securite comprend une memoire dans laquelle est inscrit une 
reference et le nombre d'utilisation desdites donnees audio/video. 
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7. Syst^me selon les revendications 1^3, caract6ris6 en ce que le 
module d'exploitation est un serveur video (VS) disposant d'un module de 
security (SM) en charge de defmir les donnees definissant les conditions 
d'acces aux dites donn6es audio/video. 

8. Methode de transmission et de stocl<age de donnees audio/video 
sous forme encryptees entre un centre de diffusion et au moins un module 
d'exploitation comprenant les etapes suivantes: 

- encryptage de donnees audio/video au moyen de clefs de cryptage 
(CW) variant en fonction du temps 

- encryptage d'un fichler (MT) forme par les clefs de cryptage et les 
conditions d'acces aux dites donnees audio/vidSo 

- transmission et stockage des donn§es audlo/vid^o Ind^pendamment du 
fichier (MT). 

9. Methode selon la revendication 8, caract6risee en ce que le module 
d'exploitation est un recepteur de video a peage (STB) muni d'un module 
de security (SM') et qu'elle consiste a recevoir et stocker les donnees 
audio/video dans une unite de stockage (HD). 

10. Mdthode selon la revendication 9, caract^risee en ce qu'elle consiste 
a stocker les donnees definissant les conditions d'acces dans un module 
de securit6 (SM') connecte au recepteur (STB). 
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